未來之路：重構網絡安全能力

文/杜躍進

未來之路：重構網絡安全能力

文/杜躍進

過去對狹義事件的發(fā)現(xiàn)和處置，導致我們即使是發(fā)現(xiàn)了“震網”的程序，也沒有警覺其實它的真正目標是工業(yè)控制系統(tǒng)，直到它完成任務，我們才如夢初醒。過去對狹義事件的發(fā)現(xiàn)和處置，還使我們疲于處置成千上萬看似不相關的事件，卻無法發(fā)現(xiàn)，實際上它們是有關系的、他們可能是來自同一個攻擊者、可能是一個威脅中的一部分。

和過去相比，我們的對手不同了。應對新的安全形勢，需要跳出傳統(tǒng)的思維慣性，建立新的思路。網絡安全攻防對抗如同一個不斷“進化”的過程，不同的傳統(tǒng)方法也是根據(jù)安全威脅的變化而不斷進化的。既然這些方法已經不適應新的形勢，那么未來的進化方向是什么呢？“異常發(fā)現(xiàn)”是一個基本方向，“博大精深”是核心要求。

“大思路”和“大視野”的異常發(fā)現(xiàn)

APT給傳統(tǒng)安全方法帶來挑戰(zhàn)的本質原因是針對特定目標的專門定制化的攻擊過程，導致從各種角度都很難提前獲得特定攻擊的具體特點。于是，如果防御方對自己的了解足夠，就能夠感知到由于攻擊導致的某種異常，之后就有可能進一步通過針對性的調查分析發(fā)現(xiàn)具體的攻擊行為。一個通俗的比喻就是，我不知道我出了什么問題，但是能感覺到不對勁。這就如同醫(yī)學領域中人類經常能夠先確定甚至治療某些疾病，但是很多年之后才找到導致這些疾病的病毒或原因一樣。隨著人類不斷完善對自身的了解，也就能夠不斷提升對新的疾病的了解和治愈能力。

新一代信息技術包括融合、泛在、移動、寬帶、智能等多個基本屬性在內，這一切都意味著，如今我們面臨的是一個高度復雜的、相互關聯(lián)的系統(tǒng)，任何網絡間的一點小問題都可能在空間中產生蝴蝶效應。

異常發(fā)現(xiàn)的思路實際上已經有很多實踐了，傳統(tǒng)網絡安全方法中也有基于行為描述的安全，這種方法試圖發(fā)現(xiàn)軟件或用戶在主機或網絡中的“異常”行為（如流量變化），進而判定是否受到攻擊。例如2003年1月，我們突然發(fā)現(xiàn)所有的網絡中都出現(xiàn)UDP1434/1435流量的大幅增長，這是不符合常規(guī)的，于是通過啟動分析進而判定是發(fā)生了大規(guī)模網絡蠕蟲攻擊。還有一些技術，可以對特定用戶的打字速度進行記錄，如果發(fā)現(xiàn)某個人的打字速度突然變成平時的兩倍，那可能就是賬戶被別人盜用。在金融領域，通過用戶登錄銀行賬戶之后的行為軌跡，可以明顯看出正常用戶和非法用戶的不同。這種比對是不依賴于對惡意代碼、漏洞、非法登錄等傳統(tǒng)安全特征的識別的。但是顯然這種模式的效果取決于對“正常”行為模式描述的準確性和完備性，而過去僅僅通過局部環(huán)境、簡單維度以及基于采樣數(shù)據(jù)積累的知識所建立的“正常”模型，顯然是容易被計劃周密的高級攻擊行為所模仿從而失去效果的。“盲人摸象”其實說的也是類似的道理：用于分析的數(shù)據(jù)不夠大，可能看到的是一塊皮膚，而如果退后幾步綜合更大更多的數(shù)據(jù)看，才會發(fā)現(xiàn)實際上是一只大象。

因此，未來需要的是大視野下的異常發(fā)現(xiàn)，其所感知的“異常”不僅僅定義在主機行為或者網絡流量行為上，而更加綜合全面、范圍更大。在金融領域，基于大量用戶的正常金融交易關系數(shù)據(jù)進行分析，就能夠發(fā)現(xiàn)很多金融犯罪活動甚至犯罪團伙，就是一個例子。“火焰”病毒可以繞過所有的安全機制，但是如果對所有獲得簽名的程序的大小有所積累，會發(fā)現(xiàn)忽然出現(xiàn)一個十分巨大的“合法程序”，也會觸發(fā)異常。

大視野并不僅僅指的是簡單地擴大分析數(shù)據(jù)的規(guī)模，還包括要強調整體性，要有大思路。 大視野的角度如何看風險分析？眾所周知，如今的互聯(lián)網以及其上的各種應用有很強的相互關聯(lián)性。在傳統(tǒng)通信行業(yè)，基礎通信網絡具有“全程全網”的特性。而新一代信息技術包括融合、泛在、移動、寬帶、智能等多個基本屬性在內，這一切都意味著，如今我們面臨的是一個高度復雜的、相互關聯(lián)的系統(tǒng)，任何網絡間的一點小問題都可能在空間中產生蝴蝶效應。發(fā)生在2009年的暴風影音事件就是非常典型的案例：軟件設計的問題、DDoS應對的問題、域名業(yè)務量估計和服務能力配備的問題全都交織在一起產生了這起網絡安全事件。但是我們目前對通信網絡以及互聯(lián)網的很多重要應用的風險評估，依然是拆分成網絡單元來開展的，因此至今無法對整體網絡的風險做出科學的分析評估，類似“暴風影音”的事件隨時還可能發(fā)生，只不過下一次的動機不見得和上次一樣，可能攻擊者是“大玩家”。

大視野的角度如何看移動互聯(lián)網安全？移動互聯(lián)網安全現(xiàn)在非常熱鬧，許多團隊都在做智能終端和應用軟件的安全檢測。但是對應用軟件的安全檢測，只是移動互聯(lián)網安全的一個環(huán)節(jié)，只有把移動應用商店的“源頭”，惡意程序運行的網絡“路徑”，以及特定用戶終端的“末端”相互結合起來，真正實現(xiàn)相互配合，才有可能更高效地遏制猖獗的移動互聯(lián)網惡意攻擊行為。

“多維度”的知識體系

異常發(fā)現(xiàn)不僅需要“大視野”，還需要“多維度”。多維度是指多層次、多來源的知識積累和異常分析，具體地說，就是對安全威脅的分析不能僅僅基于安全系統(tǒng)或者服務系統(tǒng)日志等數(shù)據(jù)，還需要建立和其他維度知識數(shù)據(jù)結合的機制。 例如APT攻擊中經常使用社會工程學攻擊，尤其是當前期搜集跟蹤攻擊對象的各種信息時，這些行為都很難用傳統(tǒng)的方法檢測到。那么是不是對社會工程學攻擊的應對就徹底放棄了呢？

完整的“事件”所包括的不僅僅是“如何”（攻擊者使用了什么方法、用了什么攻擊程序或漏洞、什么時間等），更加重要的是還應該包括“誰”（攻擊者、攻擊來源）以及“為什么”（攻擊目標、攻擊目的）等。

2007年，針對工業(yè)控制系統(tǒng)安全的研究出現(xiàn)，并有人預言，五年之內工業(yè)控制系統(tǒng)可以通過互聯(lián)網進行攻擊。而2010年，“震網”被發(fā)現(xiàn)，那么幾年前的這些信息能否提前就應該引起重視呢？2001年，所謂的“中美黑客大戰(zhàn)”，起因是南海撞機事件，現(xiàn)實世界中的事件和網絡空間中的攻擊有沒有可能建立關聯(lián)呢？ 近些年，國際上流行一些說法，比如“基于智能/情報的安全”（intelligencebasedsecurity）或者“知識驅動的安全”（knowledgedrivensecurity），其實， 那么，什么是“知識”或者“情報”？不應該被僅僅理解為原來我們熟知的漏洞庫、惡意代碼庫、事件庫等等，而必須是更多維度的信息整合。這個特點，可以稱之為“博”：和“大”不同，指的是更寬的范圍和領域。

對“博”的理解，還有另外一個十分關鍵的角度：什么是事件。從2006年開始，我一直試圖說明，完整的“事件”所包括的不僅僅是“如何”（攻擊者使用了什么方法、用了什么攻擊程序或漏洞、什么時間等），更加重要的是還應該包括“誰”（攻擊者、攻擊來源）以及“為什么”（攻擊目標、攻擊目的）等。如今看來，完整的“事件”概念，或許應該直接稱之為“威脅”更為恰當。APT的“T”，也是威脅，對APT的應對，也應該從狹義的事件發(fā)現(xiàn)和處置，延伸到威脅預警、分析與應對。 過去對狹義事件的發(fā)現(xiàn)和處置，導致我們即使是發(fā)現(xiàn)了“震網”的程序，也沒有警覺其實它的真正目標是工業(yè)控制系統(tǒng)，直到它完成任務，我們才如夢初醒。過去對狹義事件的發(fā)現(xiàn)和處置，還使我們疲于處置成千上萬看似不相關的事件，卻無法發(fā)現(xiàn)，實際上它們是有關系的、他們可能是來自同一個攻擊者、可能是一個威脅中的一部分。而對威脅的感知、分析和應對，則需要不同的思路，其中的關鍵之一是需要“博”的分析。 知識體系建設和異常發(fā)現(xiàn)，都離不開“深度分析”，而且必須建立多個視角的相互關聯(lián)的深度分析。

深度分析的核心至少包括惡意代碼、安全事件與宏觀數(shù)據(jù)三個方面。與傳統(tǒng)的分析不同的是，惡意代碼的深度分析不僅局限于提取其本機特征、網絡特征、聯(lián)絡信息等（用于各種安全設備），還要包括所使用的算法、程序編寫特點、程序編寫時間、可能的編寫者來源、與其他惡意程序之間的關系、哪些安全事件與之相關等；安全事件的深度分析不僅局限于確定攻擊者所使用的攻擊程序、攻擊源地址和目的地址等，還要包括多跳回溯發(fā)現(xiàn)真正的控制者信息、攻擊行為的動機分析等；宏觀數(shù)據(jù)的深度分析不僅包括簡單的關聯(lián)和展示等，還包括惡意代碼、漏洞、事件等的綜合分析，包括多個不同事件的多角度關聯(lián)等。 深度分析的核心目的是為了發(fā)現(xiàn)攻擊動機，發(fā)現(xiàn)重大安全威脅。長期的深度分析形成的積累，則是知識體系中的一個組成部分。

“大玩家”比的是“精”能力

“精”指的是精細化的分析和細節(jié)能力。這是受到在國外技術會議上所見所聞的啟發(fā)。我們看到，信息發(fā)達國家在網絡安全方面做得越來越精細。例如事件描述、事件信息共享等，這些內容也許很多年前我們就有了，但是今天我們對其的用途和過去的差別不大，而先進國家卻在不斷完善，精益求精，他們不斷地根據(jù)情況的變化完善和改進。

現(xiàn)在，“大玩家”入場，意味著國家間的安全對抗已經開始，意味著對抗雙方比較的是各自最精最尖的能力。這和過去我們與計算機犯罪分子以及各種黑客團伙的對抗是截然不同的。

“精”的另外一層含義是，要從眾多的安全事件中精挑細選，找出真正嚴重的威脅；要從龐大的多維的數(shù)據(jù)中進行持續(xù)的精深的分析，從中找出重大威脅的脈絡來。 傳統(tǒng)的網絡安全方法和能力無法應對未來的網絡安全威脅，尤其是國家級的威脅。未來的網絡安全能力建設的一個關鍵是基于知識的異常發(fā)現(xiàn)。異常發(fā)現(xiàn)并能不解決最終的問題，但是它可以作為啟動針對性調查分析的關鍵觸發(fā)器。未來的網絡安全能力建設，需要遵循“博大精深”的發(fā)展方向。

所謂“博”，指的是需要多維度的知識構建，需要“帶外信息”的支持與整合；需要多維度的異常感知，不僅僅是一個簡單的流量變化模型或簡單的異常行為，而是需要綜合到一起進行感知，這種感知能力越豐富，越精確，越有可能發(fā)現(xiàn)高級安全威脅；需要多維度的威脅分析，包括攻擊者及其動機，聚焦攻擊源、攻擊路徑、攻擊目標的不同角度的信息整合與關聯(lián)分析； 所謂“大”，指的是大視野的分析和應對思路，強調整體的配合，強調使用更大規(guī)模相互關聯(lián)的數(shù)據(jù)和信息進行分析。實際上，“大視野”還包括技術以外的領域，包括，政策、法律等等。

所謂“精”，指的是新階段的網絡安全對抗強調細節(jié)，每一個環(huán)節(jié)都要精益求精，通過這種方法來提高效率。需要持續(xù)不斷的研究、建設和積累，構建應對國家級網絡安全威脅的最精銳的能力和人員隊伍。

所謂“深”，指的是深度分析，要對惡意代碼、安全事件和宏觀數(shù)據(jù)展開相關聯(lián)的深度分析，識別與梳理安全威脅，發(fā)現(xiàn)重大威脅極其動機，積累相關知識。

（本文摘選自《“博大精深”：總體安全觀時代網絡安全能力建設的未來之路》，有刪節(jié)，原文刊載于人民網。作者為原網絡安全應急技術國家工程實驗室主任、網絡安全專家杜躍進）